Terug naar blog
20 januari 2026
AI StrategiePrivacy

Waar moet je rekening mee houden als je AI veilig en verantwoord wilt gebruiken?

Kan ik veilig ChatGPT gebruiken? Wat gebeurt er met de data die ik erin stop? Allemaal vragen die opkomen zodra je aan de slag gaat met AI.

Er zijn verschillende zaken waar je rekening mee moet houden als je AI gebruikt in je zakelijke processen.

AVG

De AVG (Algemene verordening gegevensbescherming) is een privacywet die sinds 2018 in de hele EU geldig is. De bedoeling van de wet is om de gegevens van mensen (natuurlijke personen) te beschermen.

Bedrijven die met persoonsgegevens werken hebben volgens deze wet bepaalde verplichtingen. Ik noem er hier een aantal:

  • Doelbinding: organisaties mogen alleen met persoonsgegevens werken als ze hier een doel voor hebben. Om een bestelling te versturen heb je bijvoorbeeld het adres nodig van een klant.
  • Data minimalisatie: organisaties moeten de hoeveelheid data die ze van een klant gebruiken zo klein mogelijk houden. Om een bestelling te versturen heb je bijvoorbeeld geen geslacht of geboortedatum nodig.
  • Juistheid: organisaties moeten ervoor zorgen dat gegevens kloppen.
  • Toestemming: organisaties moeten mensen om toestemming vragen. Het moet helder zijn dat een klant toestemming heeft gegeven om zijn data met een organisatie te delen.

Misschien merk je het al als je nadenkt over een aantal van deze verplichtingen, maar het is geen exacte wiskunde wanneer iets wel of niet mag.

In de praktijk

Stel je wil de klant een cadeau sturen als die zijn verjaardag heeft. Mag je dan zomaar om de geboortedatum vragen? Je zou zeggen dat het dan een doel heeft. Volgens het dataminimalisatie principe heb je alleen de geboortedag (maand-dag) nodig om een cadeau op te sturen. Volgens de toestemming grondslag kun je de klant toestemming laten geven of die zijn data met jou wil delen. Je moet de klant dan wel informeren waar je het voor gebruikt. Zo kun je met de grondslagen een zo goed mogelijke afweging maken.

De AI Act

Naast de AVG is er sinds 2025 de AI Act. Dat is een wet die specifiek voor AI is bedacht vanuit de Europese Unie. Deze is ook bekend als de AI-verordening.

Deze wet gaat over het verantwoord ontwikkelen en gebruiken van AI. Er zijn twee aspecten belangrijk aan de verordening:

  1. Risicogroepen: afhankelijk van het risico dat AI gebruik met zich meebrengt binnen het bedrijf gelden er andere verantwoordelijkheden.
  2. AI geletterdheid: volgens deze verplichting moeten organisaties die AI gebruiken zorgen dat haar werknemers ‘AI-geletterd’ zijn.

In de praktijk

Toepassingen die een hoog risico hebben, bijvoorbeeld voor rechtshandhaving, moeten aan een behoorlijk aantal verplichtingen voldoen. Gebruik je AI om een mail samen te vatten dan is dat risico een stuk lager en daarmee dus ook de verplichtingen. Wat “AI-geletterd” inhoudt hangt ook af van de toepassing. Ook hier is geen exacte uitkomst wanneer dat wel of niet zo is.

Voor al deze zaken geldt dat je pas tegen problemen aan zult lopen als er iets fout gaat (bijvoorbeeld een datalek) of wanneer je wordt gecontroleerd. Dus de vuistregel is dat je de AVG en AI Act kent en in overweging neemt als je met AI gaat werken.